VMware et McAfee virtualisent l’IPS

L’éditeur vient de s’associer à McAfee pour améliorer la visibilité sur le trafic réseau dans les environnements virtualisés avec NSX.

VMware vient d’annoncer un système intégrer de distribution et d’application de la plateforme de sécurité réseau de McAfee en s’appuyant sur sa couche de virtualisation réseau NSX : il s’agit ainsi d’automatiser la distribution des modules IPS du second au sein d’un centre de calcul à l’infrastructure pilotée par les outils du premier.

Martin Casado, vice-président sénior et directeur général réseau et sécurité de VMware, et ancien co-fondateur de Nicira, souligne qu’il s’agit avant tout d’améliorer la visibilité sur le trafic réseau : en virtualisant la fonciton pare-feu, NSX peut distribuer le pare-feu autour de chaque serveur et opérer détection et prévention d’intrusion à chaque paquet en transit dans le centre de calcul.

« Ceci donne à McAfee accès à bien plus de trafic. Avant, ils pouvaient voir environ seulement 20 % du trafic. Désormais, il peuvent le voir dans son intégralité ».

Pour Casado, réseaux à définition logicielle (SDN) et virtualisation des fonctions réseau (NFV) ouvrent un vaste éventail de nouvelles possibilités que l’on commence tout juste à appréhender, notamment en matière de sécurité : « la sécurité représente déjà 40 % de nos ventes. NFV est très intéressant pour quiconque s’occupe de la sécurité dans le centre de calcul ».

Le système développé conjointement consiste en un nouveau modèle de la série IPS-VM de McAfee, le NSP IPS-VM100-VSS, conçu pour s’intégrer à NSX, avec McAfee Network Security Manager et Intel Security Controller.

Ce dernier fonctionne comme un broker entre NSX et le NSP. Fonctionnant avec VMware NSX Manager, il permet le provisionnement automatique de l’IPS pour le trafic entre machines virtuelles, selon des règles et des conditions définies par les administrateurs. En définitive, c’est un environnement dépourvu de zones de confiance qui est ainsi établi pour offrir une protection approfondie et plus complète.

Une promesse qui se concrétise enfin

Certes, des API comme vShield permettent déjà, depuis plusieurs années, un certain degré d’automatisation et des gains de visibilité sur le trafic concernant les machines virtuelles. Mais il s’agit là d’aller bien plus loin.

En fait, il s’agit de commencer à concrétiser une vision décrite à mots-couverts par Art Coviello, alors président exécutif de RSA, début 2013, avec son concept d’architectures « anti-fragiles » : des environnements massivement abstraits de la couche matérielle et capables de modifier leur topologie et leur comportement de manière dynamique en fonction des menaces. Et l’on pense là naturellement SDN et NFV.

Et si Art Coviello évoquait ainsi le sujet sans trop en dévoiler, ce n’était pas un hasard. Fort de son acquisition de Nicira, en juillet 2012, VMware pouvait commencer à travailler à l’intégration du volet réseau à ses travaux afin de développer une offre cohérente pour centres de calcul virtualisés. Mais celle-ci ne sera réellement complète qu’une fois intégrée à la couche de sécurité.

Rob Randell, architecte principal, solutions de sécurité et conformité de VMware, ne disait pas le contraire fin février 2013, à San Francisco, sur RSA Conference. Il expliquait ainsi que la prochaine évolution majeure de l’informatique n’est autre que le centre de calcul programmable, ou SDDC, pour centre de calcul à définition logicielle, où l’on contrôle de manière consolidée les serveurs, le stockage, les contraintes de disponibilité, et les politiques de sécurité.

Et justement, la «sécurité et le réseau» restaient encore, il y a deux ans, des points de blocage, notamment parce qu’il est difficile « d’avoir de la visibilité sur les échanges entre machines virtuelles sur un même hôte; on ne voit pas ce qui ne sort pas sur le réseau... »

Mais le vent avait déjà commencé à tourner. À un participant à sa session qui l’interrogeait de manière un peu trop pressante, Rob Randell a expliqué : « je ne peux pas vous en dire plus ici pour le moment. Mais si vous le souhaitez, nous pouvons organiser un entretien après signature d’un engagement de confidentialité ». De son côté, Dave Martin, Vice-Président et Chief Security Officer d’EMC, évoquait prudemment le « début des discussions pour la mise en place d’environnements de test en laboratoire ».

En deux ans, les choses semblent avoir bien avancé.

Avec nos confrères de ComputerWeekly (groupe TechTarget)

Pour approfondir sur Sécurité des environnements virtuels et des conteneurs

Close